M 5.123 Absicherung der Netzkommunikation unter Windows
Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter,
Administrator
Verantwortlich für Umsetzung: Administrator
Die Sicherheit einer Windows Infrastruktur wird nicht ausschließlich von der sicheren Konfiguration und dem sicheren Betrieb einzelner Systeme bestimmt. Die Gesamtsicherheit hängt auch wesentlich von der Sicherheit in der Netzkommunikation ab, die unter anderem durch die Absicherung der Kommunikationswege (Signaturen, Verschlüsselung) und die verwendeten Authentisierungsmechanismen bestimmt wird.
Generell gilt, dass nicht verwendete Netzwerkkomponenten (z. B. Datei- und Druckerfreigabe für Microsoft-Netzwerke) von existierenden Schnittstellen zu entfernen sind. Die Beurteilung, welche Netzwerkprotokolle entfernt werden sollten, hat anhand konkreter Umstände und im Einzelfall zu erfolgen.
Sicherer Kanal
Die Kommunikation eines Clients mit einem Domain Controller erfolgt über den sog. Sicheren Kanal, der unter anderem für die Übertragung der Authentisierungsdaten verwendet wird. Die Daten des Sicheren Kanals werden mit einem Sitzungsschlüssel verschlüsselt. Das jeweilige Computer-Konto des Clients (automatisch von Windows verwaltet) wird für den Aufbau dieses Kanals verwendet. Die regelmäßigen Änderungen des Kennworts für das Computer-Konto sind daher maßgebend für die Sicherheit des Sicheren Kanals (siehe M 5.89 Konfiguration des sicheren Kanals unter Windows).